|
|
虚拟专用网络(VPN)确保所有数据都通过安全通道传输,也就是说,它严格要求身份验证或指定的证书建立连接。所以,每一个企业都倾向于配置VPN,保证企业数据的安全,防止黑客或不可信的用户的攻击访问。VPN是必须的,没有它,用户下班后就无法访问公司网络。由于移动设备已经成为生产力的一部分,员工应该可以在任何地方都可以访问企业数据。作为管理员,您需要为所有管理的移动设备配置VPN。您可以创建和关联VPN配置文件到设备。
当设备中配置了VPN配置文件时,用户每次安全地访问公司数据时都要打开设备中的VPN设置。由于VPN在无线网络或蜂窝数据上运行,所以每次设备失去与互联网的连接时,VPN连接就会自动关闭。用户必须手动打开,才能获得公司数据。为了实现这一点,您可以选择VPN On-Demand。正如名称所表明的,只有在特定数据需要时才建立VPN连接,用户不需要手动打开VPN。
您必须指定应该为其启用VPN的域。多个待添加的域可以用“,”隔开。下面提到的表格将帮助您在产品服务器上输入为移动设备配置VPN所需的输入。
MDM支持以下内置VPN连接类型:
除了上述内置的VPN之外,Mobile Device Manager Plus还支持配置以下插件VPN。这些VPN需要在设备上安装额外的应用程序。
注意:这些应用程序也可以使用应用配置功能无线配置。
Mobile Device Manager Plus还可以配置以下默认不支持的插件VPN。
注意:如果您需要对其他VPN的支持,请点击这里提交需求。
|
应用商店中没有Juniper SSL应用。这种VPN类型只能为已经存在该应用程序的设备配置。要配置自定义SSL VPN,管理员必须手动输入应用程序的详细信息。所有其他插件应用程序都可以使用ABM添加,并静默地分发到设备上。点击这里了解更多关于应用分发,点击这里,了解如何在iOS设备中静默安装应用程序。 |
除了在被管设备上配置VPN之外,MDM还提供了使用证书作为身份验证手段在设备上配置VPN的选项。身份验证在VPN连接的建立中扮演着重要的角色,证书通常被认为是比预共享密钥更安全的身份验证形式。此外,在大型VPN网络中,管理大量的预共享密钥可能会很麻烦。在这种情况下,证书是一种可扩展性更强的替代方案。此外,预共享密钥与IP地址绑定,而证书不与IP地址绑定,确保使用动态分配的IP地址的远程用户可以使用证书中包含的识别信息进行身份验证。您可以参阅 这里 配置证书,并参阅 这里 在大范围内分发证书。
|
以下文件将帮助您在您的移动设备中配置Cisco AnyConnect: |
配置文件说明 |
描述 |
|---|---|
VPN |
|
连接名称 |
连接的显示名称,会显示在终端用户的移动设备中 |
连接类型 |
启用的连接类型 |
服务器名/IP地址 |
服务器的主机名或IP地址 |
本机识别符(仅当连接类型为IKEv2时可配置) |
指定用户/设备的证书身份 |
远程识别符(仅当连接类型为IKEv2时可配置) |
指定服务器的证书身份 |
账户 |
访问VPN的用户身份验证,(%username%)获取映射到设备相应的用户名 |
Realm (只有连接类型是Juniper SSL/Pulse VPN时,才能配置) |
指定身份验证域。身份验证域指定了使用VPN服务时用户必须遵守的标准。它是一组身份验证资源,包括身份验证服务器、身份验证策略等,通常是由网络管理员完成的。 |
角色 (只有连接类型是Juniper SSL/Pulse VPN时,才能配置) |
指定用户角色。用户角色是定义用户会话参数(如会话设置)、个性化设置(如书签)和其他启用的访问功能的实体。例如,用户角色可以定义用户是否可以执行Web浏览。 |
用户验证 |
设置用户验证类型:密码或RSA securID |
机器验证(只有连接类型是IPSec(Cisco)时,才能配置) |
指定用于机器身份验证的密码 |
密码(只有用户身份验证设置为密码时,才能配置) |
指定用于用户身份验证的密码 |
身份证书(只有机器验证设置为证书时,才能配置) |
指定用于基于证书的身份验证的身份证书。您也可以使用SCEP。 |
包含用户PIN(只有机器验证设置为证书时,才能配置) |
指定是否必须包含用户PIN。 |
组名(只有用户身份验证设置为密码时,才能配置) |
指定组的名称。如果启用了混合身份验证,那么名称必须以[hybrid]为后缀。 |
共享密码 |
指定预共享的密码 |
使用混合身份验证(只有机器验证设置为共享密码时,才能配置) |
启用混合身份验证,一种安全的常规身份验证方法 |
提示输入密码(只有机器验证设置为共享密码时,才能配置) |
启用/禁用提示输入密码 |
加密级别(只有连接类型是PPTP时,才能配置) |
指定用于用户身份验证的密码 |
发送所有流量 |
通过VPN连接路由所有网络流量 |
自定义数据(只能为支持附加配置的连接类型配置) |
指定自定义数据以包含VPN连接的附加配置。 |
插件标识符(只有当连接类型设置为自定义SSL时才能配置) |
指定插件标识符来识别应用程序,并在设备上应用VPN。 |
应用程序名称(只有当连接类型设置为自定义SSL时才能配置) |
指定应用程序名称。 |
高级设置(仅当连接类型为IKEv2时可配置) |
|
对等体存活检测(DPD)率 |
DPD用于识别被管设备与VPN之间的连接是否建立。当DPD设置为高时,验证连接建立的时间间隔很小。如果设置为“中”或“低”,则时间间隔增大。 |
启用完全正向保密(PFS) |
完全正向保密(PFS)是一个属性,它可以确保过去通信的安全性,以防将来密钥/密码被泄露。例如,即使某人现在可以访问密钥/密码,这也不能用于访问以前的通信。 |
启用证书撤回检查 |
这可以用来验证CA已经撤销了为特定设备提供的证书 |
禁用MOBIKE |
MOBIKE确保在从一个地址移动到另一个地址时,与VPN网关的连接是活跃的。此外,在主机连接到多个网络的情况下,如果当前使用的接口停止工作,MOBIKE可以将流量转移到不同的接口。 |
使用内部IPv4子网 |
允许/限制分发的内部IPv4子网属性的使用。 |
禁用重定向 |
允许/限制从一个VPN网关到另一个VPN网关的重定向连接。 |
IKE SA参数(仅当连接类型为IKEv2时可配置) |
|
IKE SA (Internet Key Exchange Security Association)用于首次在VPN与设备之间建立通信,可以使用证书/预共享密钥/用户名。 | |
加密算法 |
用于共享数据建立连接的加密技术。支持常见的加密技术,如DES、AES、POLY等。 |
完整算法 |
用于共享数据以建立连接的完整性技术。支持常见的完整性技术,如SHA、MD5等。 |
Diffie-Hellman组 |
指定用于密钥交换的Diffie-Hellman算法组。 |
期间(以分钟为单位) |
指定要建立连接的最大可能持续时间。 |
Child SA参数(仅当连接类型为IKEv2时可配置) |
|
| IKE SA用于在IKE SA建立VPN连接后,保护终端之间的通信安全 | |
加密算法 |
用于对共享的数据进行加密的加密技术。支持常见的加密技术,如DES、AES、POLY等。 |
完整算法 |
用于共享数据以建立连接的完整性技术。支持常见的完整性技术,如SHA、MD5等。 |
Diffie-Hellman组 |
指定用于密钥交换的Diffie-Hellman算法组。 |
期间(以分钟为单位) |
指定要建立连接的最大可能持续时间。 |
| VPN On-Demand | |
|---|---|
启用VPN On Demand |
启用这一功能,就可以在VPN上切换,就像需要VPN连接才访问特定的服务器/域,并且设备不在公司网络中。 |
指定域 |
您必须指定应该按需启用VPN的域列表。您可以使用逗号分隔来输入多个域名。 |
配置代理 |
|
代理设置 |
为VPN配置代理设置 |
服务器URL (只有当代理被设置为自动时,才可以配置) |
指定包含代理PAC的URL。 |
服务器(只有当代理被设置为手动时,才可以配置) |
代理服务器名称 |
端口(只有当代理被设置为手动时,才可以配置) |
使用的端口号 |
用户名(只有当代理被设置为手动时,才可以配置) |
用于验证的用户名 |
密码(只有当代理被设置为手动时,才可以配置) |
使用的密码 |
以下提到的变量从登记设备的数据中提取数据。
%username% - 将获取映射到设备上的对应的用户名称。
| 另请参阅: | 将配置文件关联到组、将配置文件关联到设备、应用管理、将应用分发到设备、将应用分发到组 |
